Hàng tỷ người dùng Chrome có nguy cơ mất sạch dữ liệu nhạy cảm, cần cập nhật khẩn cấp!

Một cảnh báo khẩn vừa được Google phát đi về một lỗ hổng zero-day mới đang rình rập hàng tỷ người dùng Chrome.

Một lỗ hổng bảo mật zero-day nghiêm trọng vừa được phát hiện, có khả năng đe dọa hàng tỷ người dùng trình duyệt Google Chrome và Chromium trên cả hệ điều hành Windows và Linux. Các chuyên gia cảnh báo, lỗ hổng này có thể bị lợi dụng để đánh cắp dữ liệu nhạy cảm mà không cần bất kỳ tương tác nào từ phía người dùng.

Theo các nhà nghiên cứu từ công ty an ninh mạng Wazuh, lỗ hổng mang mã định danh CVE-2025-4664 đang thu hút sự chú ý đặc biệt do khả năng làm rò rỉ thông tin quan trọng từ các nguồn khác nhau. Cụ thể, những dữ liệu như mã token OAuth (dùng để xác thực đăng nhập) và mã định danh theo session có thể dễ dàng rơi vào tay kẻ xấu. Lỗi này được xác định nằm trong thành phần Loader của Chrome và Chromium, liên quan trực tiếp đến cách các trình duyệt này xử lý tiêu đề Link HTTP cho các yêu cầu tài nguyên phụ như hình ảnh hay tập lệnh.

Advertisement

Trình duyệt Chrome chứa lỗ hổng nguy hiểm đe dọa hàng tỷ người dùng.

Khác với nhiều trình duyệt phổ biến khác, Chrome vẫn tuân thủ chỉ thị "referrer-policy" ngay cả trên các tài nguyên phụ. Chính hành vi này đã mở đường cho tin tặc: một trang web độc hại có thể lợi dụng để chèn vào một chính sách lỏng lẻo (ví dụ như unsafe-url), từ đó âm thầm làm rò rỉ toàn bộ địa chỉ URL, gồm cả những dữ liệu cá nhân quan trọng, sang các tên miền của bên thứ ba. Kiểu tấn công này dễ dàng qua mặt các cơ chế phòng thủ thông thường của trình duyệt, đặt ra thách thức lớn cho an toàn thông tin người dùng.

Wazuh cho biết mô-đun Wazuh Vulnerability Detection của họ, kết hợp với dịch vụ Tình báo Đe dọa Mạng (CTI), có khả năng phát hiện và hỗ trợ giảm thiểu lỗ hổng này bằng cách theo dõi phiên bản phần mềm và cảnh báo khi phát hiện các gói dễ bị tấn công.

Trước tình hình khẩn cấp, Google đã nhanh chóng tung ra bản vá cho người dùng Chrome trên hệ điều hành Windows và Gentoo Linux. Người dùng trên các nền tảng này được khuyến cáo cập nhật trình duyệt lên phiên bản mới nhất ngay lập tức.

Tuy nhiên, một tin không vui cho người dùng Chromium trên Debian 11 là tất cả các phiên bản cho đến 120.0.6099.224 vẫn còn tồn tại lỗ hổng và chưa có bản vá chính thức. Lời khuyên hiện tại là nên gỡ cài đặt trình duyệt này cho đến khi có phiên bản cập nhật an toàn.